show security ike security-associations

Endereço IP do peer de destino com o qual os peer locais se comunicam.

Número de índice de um SA. Esse número é um número gerado internamente que você pode usar para exibir informações sobre uma única SA.

Nome do gateway IKE.

• FPC— Número de slot flexível do Concentrador PIC (FPC).

• PIC— número de slot PIC.

• KMD-Instance— O nome da instância KMD em execução na SPU, identificada por FPC slot-number e PIC slot-number. Atualmente, 4 instâncias KMD estão em execução em cada SPU, e qualquer negociação de IKE em particular é realizada por uma única instância do KMD.

Parte desempenhada na sessão IKE. O dispositivo que aciona a negociação do IKE é o iniciador, e o dispositivo que aceita os primeiros pacotes de troca IKE é o respondente.

Estado dos SAs IKE:

• DOWN— A SA não foi negociada com os pares.

• UP— A SA foi negociada com os pares.

Número aleatório, chamado cookie, que é enviado para o nó remoto quando a negociação do IKE é acionada.

Número aleatório gerado pelo nó remoto e enviado de volta ao iniciador como uma verificação de que os pacotes foram recebidos.

Um cookie visa proteger os recursos de computação contra ataques sem gastar recursos excessivos de CPU para determinar a autenticidade do cookie.

Método de negociação acordado pelos dois endpoints IPsec, ou pares, usados para trocar informações entre si. Cada tipo ou modo de troca determina o número de mensagens e os tipos de carga que estão contidos em cada mensagem. Os modos são:

• main— A troca é feita com seis mensagens. Esse modo criptografa a carga útil, protegendo a identidade do vizinho.

• aggressive— A troca é feita com três mensagens. Esse modo não criptografa o payload, deixando a identidade do vizinho desprotegida.

O protocolo IKEv2 não usa a configuração do modo para negociação. Portanto, o modo exibe o número de versão da associação de segurança.

Método usado para autenticar a origem das mensagens IKE, que podem ser Pre-shared-keys certificados digitais, comoDSA-signatures, ECDSA-signatures-256ouECDSA-signatures-384RSA-signatures.

Endereço do peer local.

Endereço do peer remoto.

Número de segundos restantes até o IKE SA expirar.

Quando habilitado, faltam alguns segundos até que a reauthenção desencadeie uma nova negociação de SA IKEv2.

Enabled significa que o iniciador IKEv2 e o responderam à fragmentação de mensagens e negociaram o suporte durante o IKE_SA_INIT troca de mensagens.

Size mostra o tamanho máximo de uma mensagem IKEv2 antes de ser fragmentada.

Algoritmos IKE usados para criptografar e proteger trocas entre os pares durante o processo da Fase 2 do IPsec:

• Authentication— Tipo de algoritmo de autenticação usado:

  • sha1— Autenticação do secure Hash Algorithm 1.

  • md5— autenticação MD5.

• Encryption— Tipo de algoritmo de criptografia usado:

  • aes-256-cbc— Criptografia avançada padrão (AES) de 256 bits.

  • aes-192-cbc— criptografia AES192-bit.

  • aes-128-cbc— criptografia de 128 bits AES.

  • 3des-cbc— criptografia padrão de criptografia de dados (DES) 3.

  • aes-128-gcm— Criptografia avançada padrão (AES) de 256 bits.

  • des-cbc— criptografia DES.

  A partir do Junos OS Release 19.4R2, quando você configura aes-128-gcm ou aes-256-gcm como um algoritmo de criptografia no nível da [edit security ipsec proposalproposal-name] hierarquia, o campo de algoritmo de autenticação do show security ikesecurity-associations detail comando exibe o mesmo algoritmo de criptografia configurado.

• Pseudo random function— Função que gera números aleatórios altamente imprevisíveis: hmac-md5 ou hmac-sha1.

• Diffie-Hellman group— especifica o tipo de grupo Diffie-Hellman ao realizar a nova troca de Diffie-Hellman. Pode ser um dos seguintes:

  • group1— algoritmo modular exponencial (MODP) de 768 bits.

  • group2— algoritmo MODP de 1024 bits.

  • group14— grupo MODP de 2048 bits.

  • group15— algoritmo MODP de 3072 bits.

  • group16— algoritmo MODP de 4096 bits.

  • group19— Algoritmos aleatórios de grupos de curva elíptica de 256 bits modulo um algoritmo prime (grupo ECP).

  • group20— algoritmo de grupo de ECP aleatório de 384 bits.

  • group21— algoritmo de grupo de ECP aleatório de 521 bits.

  • group24— grupo MODP de 2048 bits com subgrupo de 256 bits de ordem principal.

• Input bytes—Número de bytes recebidos.

• Output bytes—Número de bytes transmitidos.

• Input packets—Número de pacotes recebidos.

• Output packets—Número de pacotes transmitidos.

• Input fragmented packets— Número de pacotes fragmentados IKEv2 recebidos.

• Output fragmented packets— Número de pacotes fragmentados IKEv2 transmitidos.

Notificação ao principal processo de gerenciamento do status da negociação do IKE:

• caller notification sent— Programa de chamadas notificado sobre a conclusão da negociação do IKE.

• waiting for done— A negociação está concluída. A biblioteca está esperando a expiração dos temporizador de retransmissão de ponta remota.

• waiting for remove— A negociação falhou. A biblioteca está esperando o término remoto dos temporizador de retransmissão expirar antes de remover essa negociação.

• waiting for policy manager— A negociação aguarda uma resposta do gerente de políticas.

• number created: O número de SAs criados.

• number deleted: O número de SAs excluídos.

Número de negociações de IKE da Fase 2 em andamento e informações de status:

• Negotiation type— Tipo de negociação da Fase 2. Atualmente, o Junos OS oferece suporte a um modo rápido.

• Message ID— Identificador exclusivo para uma negociação da Fase 2.

• Local identity— Identidade da negociação local da Fase 2. O formato é id-type-name (proto-name:port-number,[0..id-data-len] = iddata-presentation).

• Remote identity— Identidade da negociação remota da Fase 2. O formato é id-type-name (proto-name:port-number,[0..id-data-len] = iddata-presentation).

• Flags— Notificação ao principal processo de gerenciamento do status da negociação do IKE:

  • caller notification sent— Programa de chamadas notificado sobre a conclusão da negociação do IKE.

  • waiting for done— A negociação está concluída. A biblioteca está esperando a expiração dos temporizador de retransmissão de ponta remota.

  • waiting for remove— A negociação falhou. A biblioteca está esperando o término remoto dos temporizador de retransmissão expirar antes de remover essa negociação.

  • waiting for policy manager— A negociação aguarda uma resposta do gerente de políticas.

Nome de interface do gateway local.

Nome da instância local de roteamento de gateway.

Indica a lista de IDs de túnel IPsec infantis